KI verbilligt Richtlinien, Kontroll-Mappings und Dokumentenreviews. Sie ersetzt aber weder Risikoeigentümer noch belastbare Entscheidungen. Im InfoSec-/GRC-Markt verschiebt sich der Wert deshalb vom produzierten Papier zur steuerbaren Sicherheit.
Die Kurzfassung
- Generative KI beschleunigt einen erheblichen Teil klassischer Wissensarbeit. Eine Feldstudie mit 758 BCG-Beratern maß bei Aufgaben innerhalb der untersuchten KI-Leistungsgrenze mehr als 25 Prozent höhere Geschwindigkeit und mehr als 40 Prozent bessere, von Menschen bewertete Ergebnisse. Bei einer Aufgabe außerhalb dieser Grenze lagen KI-Nutzer jedoch 19 Prozentpunkte häufiger falsch.[1]
- Genau diese ungleichmäßige Leistungsgrenze trifft den InfoSec-/GRC-Markt: Textproduktion, Extraktion und erste Mappings werden günstiger. Kontext, Scope, Risikobewertung, Verantwortungszuordnung und belastbare Freigaben bleiben anspruchsvoll.
- Regulierung und anerkannte Sicherheitsrahmen verlangen kein möglichst großes Dokumentenpaket. Sie verlangen angemessene Maßnahmen, klare Leitungseinbindung, überprüfbare Ergebnisse und kontinuierliche Verbesserung.[2][3][4]
- Käufer sollten Beratung deshalb nicht nach Folienzahl, Firmenlogo oder eingesetzten Personentagen bewerten. Entscheidend ist, ob Risiken, Maßnahmen, Nachweise und Entscheidungen nach dem Projekt tatsächlich geführt werden können.
Ein Video über den Niedergang großer Beratungsmodelle trifft einen wunden Punkt
Das Video The (Overdue) Collapse of Bullsh*t Companies beschreibt ein bekanntes Geschäftsmodell großer Prüfungs- und Beratungshäuser: Eine starke Marke schafft Vertrauen und Zugang. Viele Junior-Mitarbeiter produzieren Analysen, Dokumente und Präsentationen. Wenige erfahrene Partner tragen die Außenwirkung. Der Kunde bezahlt neben der Leistung auch Reputation, globale Struktur und hohen Overhead.[5]
Die Zuspitzung des Videos ist polemisch, seine Marktthese verdient trotzdem Beachtung. KI reduziert den Arbeitsaufwand für Datenextraktion, Dokumentenvergleich, Recherchevorbereitung und Textentwürfe. Damit verliert die schiere Größe eines Teams einen Teil ihres früheren Vorteils. Inhouse-Teams, spezialisierte Boutiquen und einzelne Senior-Berater können Arbeit übernehmen, für die früher eine Pyramide aus Partnern, Managern und Junioren nötig war.
Das ist kein Beleg dafür, dass große Beratungen verschwinden. Sie bleiben dort stark, wo weltweite Präsenz, sehr große Teams, formale Prüfungsmandate oder breite Haftungs- und Lieferstrukturen nötig sind. Unter Druck gerät ein engeres Modell: teurer Standardoutput, dessen wahrgenommener Wert hauptsächlich aus dem Absender stammt.
Im GRC-Markt wird zuerst der Output billig
Viele typische GRC-Artefakte lassen sich heute schneller vorbereiten:
- Richtlinienentwürfe und Kontrollbeschreibungen
- erste Framework- und Anforderungs-Mappings
- Zusammenfassungen von Normen, Gesetzen und Auditfeststellungen
- Fragebogenentwürfe und Evidenzlisten
- Strukturierung von Risiko- und Maßnahmenregistern
- Management-Präsentationen aus vorhandenen Daten
Das ist nützlich. Es ist aber nur die Produktionsseite der Arbeit.
Ein sprachlich sauberes Dokument beantwortet noch nicht, ob der Scope stimmt. Ein Mapping beweist keine Gleichwertigkeit. Ein vorhandener Nachweis sagt nichts darüber aus, ob ein Control angemessen gestaltet, vollständig umgesetzt und im relevanten Zeitraum wirksam betrieben wurde. Ein Risikoregister ist wertlos, wenn niemand zur Behandlung, Akzeptanz oder Eskalation befugt ist.
Eurostat meldet für 2024, dass 92,76 Prozent der erfassten EU-Unternehmen mindestens eine der abgefragten ICT-Sicherheitsmaßnahmen nutzten. Gleichzeitig berichteten 21,54 Prozent für 2023 über Folgen ICT-bezogener Sicherheitsvorfälle.[6] Die Grundgesamtheiten und Bezugsjahre sind nicht identisch, deshalb lässt sich daraus keine direkte Wirksamkeitsquote berechnen. Die Zahlen zeigen dennoch eine wichtige Grenze: Das Vorhandensein einzelner Maßnahmen beseitigt Sicherheitsvorfälle nicht und belegt noch kein wirksames Managementsystem.
GRC wird nicht durch Textproduktion wertvoll
Der belastbare Teil der Arbeit beginnt an den Übergängen:
- Welche gesetzlichen, vertraglichen oder normativen Anforderungen gelten für welche Gesellschaft, welchen Service und welchen Standort?
- Welche Geschäftsszenarien und Abhängigkeiten erzeugen das relevante Risiko?
- Wer darf über Behandlung, Ausnahme oder Akzeptanz entscheiden?
- Welches Control adressiert welches Ziel, in welchem Scope und mit welchem erwarteten Nachweis?
- Wurde nur ein Dokument erstellt, oder funktionieren Design, Umsetzung und Betrieb?
- Welche Entscheidung muss die Leitung treffen, und welche Restunsicherheit bleibt?
NIS2 macht die Führungsdimension ausdrücklich sichtbar. Artikel 20 verlangt auf Ebene der EU-Richtlinie, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Cybersecurity-Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen. Artikel 21 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen.[2] Die konkrete Anwendbarkeit richtet sich nach dem einschlägigen nationalen Umsetzungsgesetz und den Fakten der jeweiligen Organisation.
Auch NIST CSF 2.0 behandelt Governance als eigene Funktion und beschreibt Cybersecurity in Form von Ergebnissen, nicht als Einkaufs- oder Dokumentenliste.[3] ISO/IEC 27001 beschreibt ein Managementsystem, das aufgebaut, umgesetzt, aufrechterhalten und fortlaufend verbessert werden muss.[4] Der BSI-Standard 200-1 beschreibt ausdrücklich, welche Aufgaben der Leitungsebene beim Informationssicherheitsmanagement zukommen.[7] Die ENISA Technical Implementation Guidance ergänzt den NIS2-Rahmen für bestimmte digitale Sektoren um praktische Hinweise, Beispiele für Nachweise und Mappings; sie ist eine Orientierungshilfe und keine allgemein verbindliche Erweiterung des Rechtsrahmens.[10]
Diese Quellen verwenden unterschiedliche Rechts- und Wirkungsformen. Gemeinsam ist ihnen: Ein Ordner voller Artefakte ist kein Ersatz für ein betriebenes Steuerungssystem.
KI verstärkt gute und schlechte Beratung
Die Harvard/BCG-Studie ist gerade deshalb interessant, weil sie keinen pauschalen Produktivitätssieg zeigt. Innerhalb der getesteten Leistungsgrenze half GPT-4 deutlich. Außerhalb dieser Grenze sank die Wahrscheinlichkeit einer richtigen Lösung.[1]
Für GRC-Arbeit folgt daraus kein KI-Verbot. Es folgt eine Prüfpflicht im professionellen Sinn:
- Quellen und Geltungsstand müssen kontrolliert werden.
- Rechtspflicht, Aufsichtshinweis, Vertragsanforderung und freiwilliger Standard dürfen nicht vermischt werden.
- Mappings brauchen Begründung, Scope und Unsicherheitskennzeichnung.
- Behauptete Nachweise müssen auf Zeitraum, Herkunft, Verantwortlichen und Aussagekraft geprüft werden.
- Freigaben und Risikoentscheidungen bleiben bei den dafür autorisierten Menschen.
Wie teuer ungeprüfter KI-Output werden kann, zeigte ein australischer Regierungsauftrag. Das Department of Employment and Workplace Relations bestätigte bei einer von Deloitte erstellten unabhängigen Prüfung fehlerhafte Fußnoten und Referenzen; anschließend wurde eine korrigierte Fassung veröffentlicht. Die überarbeitete Fassung wies den Einsatz von Azure OpenAI aus, und die australische Regierung kündigte eine teilweise Rückerstattung an. Der Auftrag hatte ein Volumen von 440.000 australischen Dollar, damals rund 290.000 US-Dollar.[8][9]
Das Problem war nicht, dass KI verwendet wurde. Das Problem war, dass ein teurer professioneller Prozess Fehler durchließ, die eine belastbare Quellen- und Qualitätskontrolle hätte erkennen müssen.
Was Auftraggeber künftig einkaufen sollten
Ein gutes Auswahlgespräch sollte weniger Zeit mit Logos und Methodennamen verbringen. Diese Fragen sind aufschlussreicher:
- Wer bearbeitet das Mandat tatsächlich, und wie viel direkten Zugang gibt es zur verantwortlichen Senior-Person?
- Welche Entscheidung oder Betriebsfähigkeit soll am Ende verbessert sein?
- Wie werden Quellen, Mappings, Aussagen und Nachweise geprüft?
- Trennt der Anbieter Dokumentenexistenz, Control-Design, Umsetzung und Wirksamkeit?
- Werden offene Annahmen und Grenzen sichtbar gemacht oder hinter einem Reifegradwert versteckt?
- Bleiben Register, Begründungen und Entscheidungsstände für das interne Team nachvollziehbar und weiterführbar?
- Gibt es Interessenkonflikte zwischen Beratung, Implementierung und unabhängiger Prüfung?
- Wann ist ein anderer Spezialist, eine Zertifizierungsstelle, ein Rechtsberater oder ein formaler Prüfer erforderlich?
Der letzte Punkt ist wichtig. Professionelle Beratung zeigt nicht nur, was sie kann, sondern auch, wo ihr Mandat endet.
Wo A-R-C in diesem Markt häufig besser passt
Der folgende Abschnitt beschreibt die Positionierung von A-R-C. Er ist kein neutraler Marktvergleich. A-R-C ist nicht für jedes Vorhaben automatisch die richtige Besetzung. Wenn ein Konzern gleichzeitig in 30 Ländern hunderte Personen mobilisieren oder ein gesetzlich vorbehaltenes Prüfungsurteil erhalten muss, braucht er eine andere Struktur.
A-R-C ist die bessere Wahl, wenn der Engpass bei senioriger Steuerung, fachlicher Einordnung und belastbarer Umsetzung liegt:
Direkte Senior-Arbeit statt Partnerfassade
Der Ansprechpartner im Gespräch ist auch in der fachlichen Arbeit präsent. Das reduziert Übersetzungsverluste und verhindert, dass ein erfahrenes Profil verkauft, die Leistung aber überwiegend durch wechselnde Junior-Teams erbracht wird.
Steuerungsfähigkeit statt Dokumentenabgabe
Das Ziel ist kein möglichst großer Papierbestand. Risiken, Maßnahmen, Ausnahmen, Nachweise und Verantwortlichkeiten sollen so strukturiert werden, dass Management, IT, Fachbereiche und Prüfinstanzen damit arbeiten können.
Regulierung wird in Entscheidungen übersetzt
ISO 27001, BSI IT-Grundschutz, NIS2/KRITIS, TISAX und Audit-Anforderungen werden nicht als austauschbare Checklisten behandelt. Relevant sind Anwendbarkeit, Scope, Geschäftskontext, Nachweise und die Entscheidung, die eine verantwortliche Rolle tatsächlich treffen muss.
KI als Werkzeug unter fachlicher Verantwortung
KI kann Recherche, Strukturierung und Entwurfsarbeit beschleunigen. Das Leistungsversprechen bleibt jedoch ein fachlich verantwortetes Ergebnis. Plausible Formulierungen werden nicht mit geprüften Feststellungen verwechselt.
Weniger Overhead, mehr nutzbare Senior-Kapazität
Ein schlankes, remote lieferbares Modell reduziert den organisatorischen Unterbau eines Großhauses. Das bedeutet nicht automatisch den niedrigsten Preis. Es erhöht aber den Anteil des Budgets, der in die konkrete seniorige Bearbeitung fließen kann.
Der Unterschied lässt sich einfach formulieren: Wer lediglich eine weitere Policy benötigt, kann heute viele Anbieter und Werkzeuge wählen. Wer klären muss, welche Risiken gelten, wer entscheiden darf, welche Maßnahmen priorisiert werden und wie die Wirksamkeit belegt wird, braucht Erfahrung und Urteilskraft.
Schluss
KI wird den InfoSec-/GRC-Markt nicht abschaffen. Sie wird Standardoutput entwerten und schwache Beratungsmodelle schneller sichtbar machen.
Für Auftraggeber ist das eine gute Entwicklung. Sie können Dokumentenproduktion stärker automatisieren und externe Unterstützung gezielter dort einkaufen, wo Verantwortung, Einordnung, Unabhängigkeit und Umsetzungserfahrung zählen.
A-R-C positioniert sich genau an dieser Stelle: Informationssicherheit steuerbar, prüfbar und managementfähig machen. Nicht durch mehr Papier, sondern durch klare Risiken, belastbare Nachweise und nachvollziehbare Entscheidungen.
Unterstützungsangebot
Wenn Ihr ISMS viele Dokumente, aber zu wenig Steuerungsfähigkeit hat, kann ein fokussierter Governance- und Audit-Readiness-Review den Engpass sichtbar machen. A-R-C prüft Scope, Rollen, Risiken, Maßnahmen, Nachweise und Management-Entscheidungen und erstellt daraus einen priorisierten Umsetzungsplan.
Quellen
- Dell’Acqua et al., Navigating the Jagged Technological Frontier: Field Experimental Evidence of the Effects of AI on Knowledge Worker Productivity and Quality, Harvard Business School, Studie mit 758 BCG-Beratern. HBS-Zusammenfassung und Working Paper: https://aiinstitute.hbs.edu/navigating-the-jagged-technological-frontier/ und https://www.hbs.edu/faculty/Pages/item.aspx?num=64700
- Richtlinie (EU) 2022/2555 (NIS2), insbesondere Art. 20 und 21, EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
- NIST, Cybersecurity Framework (CSF) 2.0, insbesondere die Funktion GOVERN: https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-csf-20/final
- ISO, ISO/IEC 27001:2022 – Information security management systems, offizielle Übersicht: https://www.iso.org/standard/27001
- The Invisible Game, The (Overdue) Collapse of Bullsh*t Companies, YouTube, veröffentlicht am 17. Juli 2026: https://www.youtube.com/watch?v=ohCAPyqlJpo
- Eurostat, ICT security in enterprises, Datenstand Dezember 2024: https://ec.europa.eu/eurostat/statistics-explained/index.php?title=ICT_security_in_enterprises
- BSI, BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS): https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html
- Australian Department of Employment and Workplace Relations, Statement from the Secretary on progress under the Targeted Compliance Framework Integrity Assurance Program: https://www.dewr.gov.au/assuring-integrity-targeted-compliance-framework/announcements/statement-secretary-progress-under-targeted-compliance-framework-integrity-assurance-program
- Associated Press, Deloitte Australia to partially refund $290,000 report filled with apparent AI-generated errors, 7. Oktober 2025: https://apnews.com/article/australia-ai-errors-deloitte-ab54858680ffc4ae6555b31c8fb987f3
- ENISA, NIS2 Technical Implementation Guidance, 26. Juni 2025. Die Guidance enthält praktische Hinweise, Beispiele für Nachweise und Mappings; sie ist keine allgemein verbindliche Erweiterung des NIS2-Rechtsrahmens: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
Quellen geprüft am 18. Juli 2026. Dieser Beitrag ordnet Informationssicherheits-, Governance- und Umsetzungsfragen ein. Er ersetzt keine Rechtsberatung, Zertifizierung oder unabhängige Prüfung im Einzelfall.